Microsoft Sentinel-oplossing configureren voor SAP-toepassingen®
Notitie
Azure Sentinel heet nu Microsoft Sentinel en deze pagina's worden in de komende weken bijgewerkt. Meer informatie over recente beveiligingsverbeteringen van Microsoft.
Dit artikel bevat aanbevolen procedures voor het configureren van de Microsoft Sentinel-oplossing voor SAP-toepassingen®. Het volledige implementatieproces wordt beschreven in een hele reeks artikelen die zijn gekoppeld onder Implementatie mijlpalen.
Belangrijk
Sommige onderdelen van de Microsoft Sentinel-oplossing voor SAP-toepassingen® zijn momenteel beschikbaar als PREVIEW-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
Implementatie van de gegevensverzamelaaragent en -oplossing in Microsoft Sentinel biedt u de mogelijkheid om SAP-systemen te controleren op verdachte activiteiten en bedreigingen te identificeren. Voor de beste resultaten raden best practices voor het uitvoeren van de oplossing echter sterk aan om verschillende aanvullende configuratiestappen uit te voeren die sterk afhankelijk zijn van de SAP-implementatie.
Implementatie-mijlpalen
Volg het implementatietraject van uw SAP-oplossing via deze reeks artikelen:
De Microsoft Sentinel-oplossing voor SAP-toepassingen® implementeren vanuit de inhoudshub
Microsoft Sentinel-oplossing configureren voor SAP-toepassingen® (u bent hier)
Optionele implementatiestappen
Volglijsten configureren
De Microsoft Sentinel-oplossing voor de configuratie van SAP-toepassingen® wordt bereikt door klantspecifieke informatie op te geven in de ingerichte volglijsten.
Notitie
Na de eerste implementatie van de oplossing kan het enige tijd duren voordat de volglijsten worden gevuld met gegevens. Als u een volglijst bewerkt en deze leeg is, wacht u enkele minuten en probeert u de volglijst opnieuw te openen om deze te bewerken.
SAP - Volglijst voor systemen
SAP- Volglijst voor systemen definieert welke SAP-systemen aanwezig zijn in de bewaakte omgeving. Geef voor elk systeem de SID op, of het nu een productiesysteem of een ontwikkel-/testomgeving is, evenals een beschrijving. Deze informatie wordt gebruikt door sommige analyseregels, die mogelijk anders reageren als relevante gebeurtenissen worden weergegeven in een ontwikkel- of productiesysteem.
SAP - Watchlist voor netwerken
SAP- Volglijst voor netwerken bevat een overzicht van alle netwerken die door de organisatie worden gebruikt. Het wordt voornamelijk gebruikt om te bepalen of gebruikersaanmeldingen afkomstig zijn uit bekende segmenten van het netwerk, ook als de oorsprong van gebruikersaanmelding onverwacht wordt gewijzigd.
Er zijn een aantal benaderingen voor het documenteren van netwerktopologie. U kunt een breed scala aan adressen definiëren, zoals 172.16.0.0/16, en de naam 'Bedrijfsnetwerk' geven, wat goed genoeg is voor het bijhouden van aanmeldingen van buiten dat bereik. Met een meer gesegmenteerde benadering kunt u echter beter inzicht krijgen in mogelijk atypische activiteiten.
Bijvoorbeeld: definieer de volgende twee segmenten en hun geografische locaties:
Segment | Locatie |
---|---|
192.168.10.0/23 | West-Europa |
10.15.0.0/16 | Australië |
Microsoft Sentinel kan nu een aanmelding onderscheiden van 192.168.10.15 (in het eerste segment) van een aanmelding van 10.15.2.1 (in het tweede segment) en u waarschuwen als dergelijk gedrag als atypisch wordt geïdentificeerd.
Volglijsten voor gevoelige gegevens
- SAP - Gevoelige functiemodules
- SAP - Gevoelige tabellen
- SAP - Gevoelige ABAP-programma's
- SAP - Gevoelige transacties
Al deze volglijsten identificeren gevoelige acties of gegevens die kunnen worden uitgevoerd of geopend door gebruikers. Verschillende bekende bewerkingen, tabellen en autorisaties zijn vooraf geconfigureerd in de volglijsten, maar we raden u aan contact op te vragen met het SAP BASIS-team om te bepalen welke bewerkingen, transacties, autorisaties en tabellen als gevoelig worden beschouwd in uw SAP-omgeving.
Volglijsten voor hoofdgegevens van gebruikers
- SAP - Gevoelige profielen
- SAP - Gevoelige rollen
- SAP - Bevoegde gebruikers
- SAP - Kritieke autorisaties
De Microsoft Sentinel-oplossing voor SAP-toepassingen® maakt gebruik van gebruikershoofdgegevens die zijn verzameld van SAP-systemen om te bepalen welke gebruikers, profielen en rollen als gevoelig moeten worden beschouwd. Sommige voorbeeldgegevens zijn opgenomen in de volglijsten, maar we raden u aan contact op te nemen met het SAP BASIS-team om gevoelige gebruikers, rollen en profielen te identificeren en de volglijsten dienovereenkomstig in te vullen.
Analyseregels inschakelen
Standaard worden alle analyseregels in de Microsoft Sentinel-oplossing voor SAP-toepassingen® geleverd als waarschuwingsregelsjablonen. We raden een gefaseerde benadering aan, waarbij een paar regels worden gemaakt op basis van sjablonen tegelijk, zodat er tijd is om elk scenario te verfijnen. We beschouwen de volgende regels als eenvoudig te implementeren, dus u kunt het beste beginnen met de volgende regels:
- Wijziging in gevoelige bevoegde gebruiker
- Wijziging van clientconfiguratie
- Gevoelige bevoegde gebruikersaanmelding
- Gevoelige bevoegde gebruiker brengt een wijziging aan in andere
- Wachtwoord wijzigen en aanmelden voor gebruikers met gevoelige bevoegdheden
- Functiemodule getest
De opname van specifieke SAP-logboeken in- of uitschakelen
De opname van een specifiek logboek in- of uitschakelen:
- Bewerk het bestand systemconfig.json onder /opt/sapcon/SID/ op de VM van de connector.
- Zoek in het configuratiebestand het relevante logboek en voer een van de volgende handelingen uit:
- Wijzig de waarde in om het logboek in te
True
schakelen. - Als u het logboek wilt uitschakelen, wijzigt u de waarde in
False
.
- Wijzig de waarde in om het logboek in te
Als u bijvoorbeeld de opname voor de wilt stoppen, wijzigt u de ABAPJobLog
waarde ervan in False
:
"abapjoblog": "True",
Bekijk de lijst met beschikbare logboeken in de bestandsreferentie Systemconfig.json.
U kunt ook stoppen met het opnemen van de hoofdgegevenstabellen van de gebruiker.
Notitie
Zodra u een van de logboeken of tabellen stopt, werken de werkmappen en analysequery's die gebruikmaken van dat logboek mogelijk niet meer. Begrijpen welk logboek elke werkmap gebruikt en begrijpen welk logboek elke analyseregel gebruikt.
Logboekopname stoppen en de connector uitschakelen
Voer deze opdracht uit om te stoppen met het opnemen van SAP-logboeken in de Microsoft Sentinel-werkruimte en om de gegevensstroom uit de Docker-container te stoppen:
docker stop sapcon-[SID/agent-name]
Als u wilt stoppen met het opnemen van een specifieke SID voor een container met meerdere SID's, moet u de SID verwijderen van de gebruikersinterface van de connectorpagina in Sentinel. De Docker-container stopt en verzendt geen SAP-logboeken meer naar de Microsoft Sentinel-werkruimte. Hiermee stopt u zowel de opname als facturering voor het SAP-systeem dat is gerelateerd aan de connector.
Als u de Docker-container opnieuw wilt inschakelen, voert u deze opdracht uit:
docker start sapcon-[SID]
Verwijder de gebruikersrol en de optionele CR die op uw ABAP-systeem zijn geïnstalleerd
Als u de gebruikersrol en optionele CR die in uw systeem zijn geïmporteerd, wilt verwijderen, importeert u de verwijderings-CR-NPLK900259 in uw ABAP-systeem.
Volgende stappen
Meer informatie over de Microsoft Sentinel-oplossing voor SAP-toepassingen®:
- Microsoft Sentinel-oplossing implementeren voor SAP-toepassingen®
- Vereisten voor het implementeren van de Microsoft Sentinel-oplossing voor SAP-toepassingen®
- SAP-wijzigingsaanvragen (CA's) implementeren en autorisatie configureren
- Container implementeren en configureren die als host fungeert voor de SAP-gegevensconnectoragent
- SAP-beveiligingsinhoud implementeren
- De status van uw SAP-systeem bewaken
- De Microsoft Sentinel voor SAP-gegevensconnector implementeren met SNC
- SAP-controle inschakelen en configureren
- SAP HANA-auditlogboeken verzamelen
Problemen oplossen:
Referentiebestanden:
- Gegevensreferentie voor Microsoft Sentinel-oplossing voor SAP-toepassingen®
- Microsoft Sentinel-oplossing voor SAP-toepassingen®: naslaginformatie over beveiligingsinhoud
- Naslaginformatie over Kickstart-scripts
- Naslaginformatie over updatescripts
- Systemconfig.ini bestandsreferentie
Zie Microsoft Sentinel-oplossingen voor meer informatie.